組策略封閉使用usb
組策略封閉使用usb。封閉使用USB問題,當電腦接入一個全新的u盤時,AD組策略裏封USB端口策略不起作用
回答:首先,我假設您只是想禁止用戶使用USB存儲設備,而不是所有USB設備。因此,我建議參考下面兩篇文章,來測試是否可以實現通過禁止用戶對usbstor.pnf和usbstor.inf的訪問來實現禁用USB存儲設備:
注意:我建議您先刪除以前建立的沒有起作用的組策略,而重新創建一個新的策略來測試這個問題。
如何禁用 USB 存儲設備
[url]http://support.microsoft.com/kb/823732/zh-cn[/url]
如何使用 Xcacls.exe 修改 NTFS 權限
[url]http://support.microsoft.com/kb/318754/zh-cn[/url]
參考上面兩篇KB,您只需建立一條使用xcacls,設置usbstor.pnf和usbstor.inf上domain users組用戶的拒絕權限的登陸腳本,在用戶登陸後他們自然就無法使用USB存儲設備了,而administrator由於訪問權限沒有更改,所以可以繼續使用USB存儲設備。您看到的文章源自活動目錄seo [url]http://gnaw0725.blogbus.com/c1404552/[/url]
以domain users組爲例:
Xcacls %systemroot%\inf\usbstor.pnf /d “domain users” /y
Xcacls %systemroot%\inf\usbstor.inf /d “domain users” /y
以編輯域策略爲例提供設置腳本的步驟如下:
1.將xcacls和腳本放在所有用戶都能訪問的共享目錄內(比如netlogon)
2.運行dsa.msc命令
3.右鍵點擊域名,打開屬性
4.點擊組策略屬性頁
5.新建一個組策略,給予一個恰當的名稱然後點擊編輯(或者編輯默認域策略)
6.定位到:計算機配置->Windows 設置->腳本->啓動
7.雙擊啓動腳本,將配置的腳本添加進去
8.點擊確定
9.運行gpupdate /force刷新這一策略
這樣下次計算機重啓後本地文件的權限即被更改了。這一腳本只需運行一次,在您確認所有計算機都執行過這一腳本後,即可撤銷這條策略。您看到的文章源自活動目錄seo [url]http://gnaw0725.blogbus.com/c1404552/[/url]
注意:我建議您先刪除以前建立的沒有起作用的組策略,而重新創建一個新的策略來測試這個問題。
如何禁用 USB 存儲設備
[url]http://support.microsoft.com/kb/823732/zh-cn[/url]
如何使用 Xcacls.exe 修改 NTFS 權限
[url]http://support.microsoft.com/kb/318754/zh-cn[/url]
參考上面兩篇KB,您只需建立一條使用xcacls,設置usbstor.pnf和usbstor.inf上domain users組用戶的拒絕權限的登陸腳本,在用戶登陸後他們自然就無法使用USB存儲設備了,而administrator由於訪問權限沒有更改,所以可以繼續使用USB存儲設備。您看到的文章源自活動目錄seo [url]http://gnaw0725.blogbus.com/c1404552/[/url]
以domain users組爲例:
Xcacls %systemroot%\inf\usbstor.pnf /d “domain users” /y
Xcacls %systemroot%\inf\usbstor.inf /d “domain users” /y
以編輯域策略爲例提供設置腳本的步驟如下:
1.將xcacls和腳本放在所有用戶都能訪問的共享目錄內(比如netlogon)
2.運行dsa.msc命令
3.右鍵點擊域名,打開屬性
4.點擊組策略屬性頁
5.新建一個組策略,給予一個恰當的名稱然後點擊編輯(或者編輯默認域策略)
6.定位到:計算機配置->Windows 設置->腳本->啓動
7.雙擊啓動腳本,將配置的腳本添加進去
8.點擊確定
9.運行gpupdate /force刷新這一策略
這樣下次計算機重啓後本地文件的權限即被更改了。這一腳本只需運行一次,在您確認所有計算機都執行過這一腳本後,即可撤銷這條策略。您看到的文章源自活動目錄seo [url]http://gnaw0725.blogbus.com/c1404552/[/url]